概述

恶意行为者定期从受感染的数据库中释放登录凭据。网络犯罪分子可以通过多种方式使用这些凭据，包括在线冒充个人、访问工作和个人账户、签署在线服务协议或合同、从事金融交易或更改账户信息。

密码策略建议：

• 密码应至少包含10个字符，并包含大小写字母、数字和符号。CIS建议使用14个字符。

• 为您访问的每个账户使用不同的密码。

• 请勿在密码中使用单词和专有名称（无论语言如何）或个人信息，例如您的姓名、家庭成员或宠物的名字等。

• 定期更改密码——至少每60天一次。如果您认为您的账户已被盗用，请立即更改密码。不要重复使用旧密码。

• 不允许浏览器的密码管理器存储您的密码；某些浏览器以明文形式存储和显示密码，并且默认情况下不实施密码保护。

• 不允许网站自动登录账户；许多服务在本地存储此信息，攻击者可以利用它无需密码即可获得访问权限。

• 不要与任何人分享您的密码，也不要回复要求您提供登录凭据的电子邮件或电话。合法企业绝不会通过这些方法要求您提供登录凭据。

• 在工作中，请遵循组织的密码政策，并为工作和个人使用不同的密码。加入和访问个人网站时请勿使用工作电子邮件。

• 使用多重身份验证，其中包括您知道的信息（密码）和您拥有的信息（手机、物理密钥等）（如果提供）。

技术建议：

• 实施网络控制以强制执行组织的凭据策略。

• 保留足够的密码历史记录，以防止用户重复使用去年使用过的任何密码。CIS建议阻止用户使用最近24个密码中的任何一个。

• 实施控制措施，确保至少每60天更改一次密码。

• 将最短密码期限设置为至少一天，以便用户无法循环使用密码以返回到他们最喜欢的密码（例如，在25分钟内更改密码24次，以允许他们重复使用原始密码）。

• 要求所有密码至少包含以下四类中的三类：大写字母、小写字母、数字和符号。

• 使用强大的加盐和散列函数存储所有密码；只有具有超级用户权限的人才能访问存储的文件。不要使用可逆加密来存储密码。

• 将账户登录阈值设置为10次或更少的无效登录尝试，并且账户锁定和密码重置之间至少需要15分钟。记录并监控所有登录尝试。

• 设置新设备时更改默认密码和管理员账户。

原文始发于微信公众号（河南等级保护测评）：网络​安全入门–保护登录凭据